Nakúpiť sme mali napríklad desať licencií na FinSpy, čo vystačí na odpočúvanie a zaznamenávanie dát až z piatich stoviek napadnutých počítačov. Wikileaks.org zmieňuje aj dve licencie mobilnej verzie aplikácie, ktorá dokáže špehovať až tridsať smartfónov. Všetky licencie podľa Wikileaks už expirovali.
Aplikácia FinFisher alebo FinSpy sa šíri podobne ako vírus. Stačí kliknúť na nesprávny odkaz a tajná služba alebo obchodný partner si môžu čítať vaše e-maily či skopírovať si súbory, ktoré niekomu posielate prostredníctvom siete.
„Ide o extrémne účinný softvér, pretože využíva takzvané zero-day zraniteľnosti, na ktoré ešte neexistujú bezpečnostné záplaty,“ vysvetľuje na blogu Pavol Lupták z bezpečnostnej spoločnosti Nethemba. Inak povedané, v prípade operačného systému Windows využíva FinFisher diery, o ktorých Microsoft nemusí vedieť, alebo aj môže, no ešte používateľom neposlal bezpečnostné aktualizácie, ktoré by ich zaplátali. Podobne to platí aj pri mobilnej verzii aplikácie.
Ostatné aplikácie Gamma International sú akousi nadstavbou. Napríklad FinIntrusion Kit je počítač a softvér, vďaka ktorému sa dá odchytávať komunikácia prostredníctvom verejných i zabezpečených Wi-Fi sietí.
Za jeden kit malo Slovensko podľa Wikileaks.org zaplatiť 30 600 eur, dokopy sme ich mali kúpiť päť. Ako jednotlivé produkty od Gamma International fungujú, ukazuje dobre toto video.
„FinFisher nehanbene podniká z Nemecka a predáva softvér na sledovanie niektorým z najviac autoritárskych štátov sveta. Vláda Angely Merkelovej sa tvári, aké má obavy o súkromie, ale jej činy hovoria niečo iné,“ povedal zakladateľ Wikileaks Julian Assange pre britský The Guardian. Na web zavesili aj technickú dokumentáciu k FinFisheru, aby mohli programátori vyvíjať účinnú ochranu proti aplikáciám od Gammy International.
Ministerstvo obrany: Je to lož
P. Lupták upozorňuje, že FinFisher má moduly pre odpočúvane hovorov cez internet (VoIP), cez Skype či krátkych správ cez WhatsApp. Zachytiť dokáže aj šifrované e-maily alebo súbory, pretože komunikáciu zachytáva priamo na zariadení odosielateľa, teda ešte predtým, ako bude zašifrovaná. „Prostredníctvom vstavaného mikrofónu a webkamery dokáže sledovať to, čo sa práve deje v okolí infikovaného zariadenia,“ dopĺňa aj hovorkyňa antivírusovej spoločnosti Eset Zuzana Hošalová.
Odpočúvací systém, ktorý v súčasnosti používa slovenská tajná služba a polícia, technicky neumožňuje odchytávať a odpočúvať prenášané mobilné dáta. Výhodou FinFisheru teda je, že je použíteľný aj takýmto spôsobom, keďže sa správa ako vírus.
„Na aktiváciu malwaru stačí dostať podvrhnutú esemesku, ktorá sa často po infekcii sama zmaže, alebo otvoríte nejakú nebezpečnú prílohu či kliknete na nejaký podvrhnutý odkaz,“ vysvetľuje pre TREND.sk P. Lupták zo spoločnosti Nethemba.
Vojenská aj civilná tajná služby popreli, že by kúpili FinFisher. Aplikáciu podľa informácií TREND.sk nemá ani polícia. „Nemáme kompetenciu na nákup licencií a využívanie predmetných monitorovacích prostriedkov,“ reagovala zas hovorkyňa Národného bezpečnostného úradu Blažena Zimanová.
„Informácie zverejnené na Wikileaks.org sa nezakladajú na pravde,“ reagovala hovorkyňa ministerstva obrany Martina Balleková na otázku, či aplikáciu FinFisher používa Vojenské spravodajstvo.
Pridelenci na našej ambasáde alebo Česi?
Wikileaks.org zverejnili aj komunikáciu so zákazníckou podporou Gamma International. Tá ukazuje, že Wikileaks sa mohol pomýliť pri identifikácii Slovenska a skutočným kupcom softvéru za 5,3 milióna eur bolo Česko. Zverejnená konverzácia totiž zachytáva sťažnosť zákazníka, ktorému sa nepáči, že na počítači s infekciou FinFisher nefunguje test rýchlosti internetového pripojenia.
Sťažnosť zákazníka na funkčnosť FinSpy Zdroj: Wikileaks.org
Priložený screenshot zachytáva český Windows aj s českým rozložením klávesnice. Wikileaks.org zatiaľ nespresnil, či ide skutočne o Slovensko. Napriek českému screenshotu môže ísť o slovenského používateľa, pretože s tajnou službou spolupracujú aj pridelenci na veľvyslanectvách. A navyše, vojenská aj civilná tajná služba majú v zahraničí svojich špiónov.
Ako pripomína Technet.cz, aj keby išlo o Slovensko, stále nevedno, či bola kupcom tajná služba, polícia alebo súkromná firma. Milióny za špehovanie by totiž mohli dať aj niektorí slovenskí podnikatelia, či už pre priemyselnú špionáž, alebo aby získali dáta na vydieranie svojich protivníkov. Pokiaľ by slovenskí podnikatelia využívali FinFisher na tieto účely, porušovali by zákon.
Keby aplikácie od Gamma International skutočne nakúpila tajná služba, zákonnosť ich používania je tiež pochybná. Zákon o Slovenskej informačnej službe totiž nehovorí o odpočúvaní internetovej komunikácie a ani zákon o spravodajskom odpočúvaní tento druh špehovania nerieši, hoci podľa názorov Európskeho súdu pre ľudské práva by malo aj špicľovanie na webe podliehať súhlasu súdu.
„Európsky súd pre ľudské práva v zásade nerozlišuje medzi odpočúvaním telefonických hovorov, ktoré v rozhodnutiach rieši najčastejšie, a inými spôsobmi tajného sledovania. Vo všeobecnosti na operatívne prostriedky aplikuje rovnaké princípy,“ píše vo svojom komentári k Dohovoru o ochrane ľudských práv a základných slobôd český právnik Jan Kratochvíl.
Keďže na Slovensku nemáme špecifický zákon, ktorý by od tajnej služby či polície vyžadoval vybaviť si súhlas súdu na zavírusovanie počítača alebo mobilu, súd by mohol takéto špicľovanie považovať za porušenie ľudskoprávneho dohovoru.
Odpočúvanie, mobil, telefón, tajné služby. Zdroj: flickr.com/Judit Klein
Na odpočúvanie dát bude treba súhlas súdu
Nový zákon o spravodajských službách, ktorého návrh má TREND.sk k dispozícii, rieši aj právomoc tajnej služby prenikať do zabezpečených e-mailov či odpočúvať internetovú komunikáciu. Civilná aj vojenská tajná služby budú mať oprávnenie na „elektronický monitoring,“ čo v sebe zahŕňa nielen monitorovanie telekomunikačných sietí či frekvencií, ale aj kybernetickú ochranu vládnych serverov.
Bez súhlasu súdu by mohli odpočúvať aj diania v mobilnej sieti, pokiaľ by tým nezískavali obsah esemesiek či telefonátov. V zákone sa navyše vyslovene hovorí, že tajní budú môcť prenikať do informačných systémov:
„Spravodajská služba je oprávnená utajovaným spôsobom prenikať do informačných systémov, technických prostriedkov a iných obdobných zariadení a to najmä s použitím technických, mechanických a iných prostriedkov, falošných signálov, falošných kľúčov alebo s použitím legendy; ak je to nevyhnutné, je oprávnená pritom prekonávať zabezpečovacie systémy a prostriedky, používať prostriedky na dešifrovanie a dekódovanie údajov a kopírovať takto získané informácie,“ píše sa v návrhu zákona.
Návrh vyslovene nezmieňuje, že by na hackovanie serverov bol treba súhlas súdu. Naopak, o „získavaní obsahu správ prenášaných prostredníctvom elektronických komunikačných“ sietí by po novom mali rozhodovať sudcovia podobne, ako v súčasnosti rozhodujú o odpočúvaní telefónov či bytov.
Poznámka: Autor sa zaoberá pripomienkovaním návrhu zákona o štátnom spravodajstve a spravodajských službách.
